5.10. Наследование прав в NDS на объекты.
Так как NDS имеет структуру иерархического дерева, то права на объекты и их свойства наследуются по нисходящей. При этом при назначении прав опекуна необходимо различать такие виды прав:
1. Права опекуна на объекты. Они наследуются вниз, если данный объект является контейнерным.
2. Права опекуна на все свойства объекта. Наследуются по нисходящей на свойства всех нижележащих объектов.
3. Права опекуна на некоторые свойства объекта. Не наследуются вниз.
Для объектов NDS, так же как и для каталогов и файлов, действует IRF.
Определение действительных прав в NDS на объекты.
1. Действительные права, когда лист-объект выступает в качестве опекуна.
Правила:
Если назначаем некоторый лист- объект в качестве опекуна для контейнерного объекта, то действует правило, согласно которому действительные права соответствуют правам опекуна и эти права наследуются дальше вниз.
Пример:
В ACL объекта mmsa.ntu_kpi внесли в кач-ве опекуна zaych и указали, что представляем ему права на все св-ва. Это означает, что право Browse будет наследоваться вниз по нисходящей на все объекты, входящие в контейнер. Каждый объект имеет свой IRF и принципиальным отличием прав в NDS является то, что права супервизора могут быть ограничены с помощью фильтра IRF.
2. Контейнерный объект в качестве опекуна.
Пусть есть дерево NDS
[Root]
Пусть есть объект А - опекун объекта В с правами [B C D R ] Следовательно, действительные права, которые даны контейнеру будут наследоваться всеми лист - объектами А1.....Аn. Эти же права, которые объект А имеет на объект В наследуются по нисходящей на В1...Вм. Пусть IRF A изменен [B C D R ]Права R A на k-o-B [ D C D R ] IRF B1 [B R]. Тогда эффективные права А на объект B1
ER k-o на B1 [B R].
Допустим объект А имеет права [B C D R ] на объект В, а пользователь А1 внесен в список опекунов объекта с правами [S C D ] ER объекта А1 - суммируются права объекта А и А1
Рассмотрим варианты определенных прав:
1. Объект [Root] имеет опекунов с какими -то правами. В этом случае, эти права будут распространяться на все объекты NDS (по нисходящей ), если они не ограничены фильтром. При инсталляции сервера Netware создается пользователь Admin, который является опекуном Root-a с правом s Это означает, что Admin имеет все права на свойства и объекты NDS. По умолчанию IRF содержит все права. Если в IRF некоторого объекта удалить право s, то он будет не управляем со стороны администратора. Есть система предупреждения этого явления. Это можно сделать в том случае, если явно назначить опекуна этого объекта с правом S. Если администратора назначить явным опекуном некоторого объекта, то его действительные права будут определяться как права явного опекуна.
2. Объект опекун PUBLIC.
После инсталляции объект PUBLIC назначается опекуном объекта Root с правом Browse. Это означает, что обеспечена возможность просмотра всех объектов NDS любым пользователям.
3. Root является опекуном.
Если сделать объект Root опекуном некоторого объекта И, то в результате наследования прав вниз все объекты NDS будут иметь такие же права на данный объект. Поэтому необходимо осторожно предоставлять объекту права опекуна.
